Pupkur 0 Опубликовано 27 мая, 2009 Share Опубликовано 27 мая, 2009 (изменено) http://www.securitylab.ru/news/379709.php?pagen=10#comment Здравствуйте. Можно ли увидеть полный листинг кода троянов что-бы заделать дыру с помощью которой они прописываются в автозапуск? И ещё вопрос. Участвуете ли Вы в такого рода(поиск новых троянов\вирусов) исследованиях? Если участвуете, то в качестве кого? Изменено 27 мая, 2009 пользователем Pupkur Цитата Ссылка на сообщение Поделиться на другие сайты
E.K. 10 226 Опубликовано 27 мая, 2009 Share Опубликовано 27 мая, 2009 http://www.securitylab.ru/news/379709.php?pagen=10#commentЗдравствуйте. Можно ли увидеть полный листинг кода троянов что-бы заделать дыру с помощью которой они прописываются в автозапуск? И ещё вопрос. Участвуете ли Вы в такого рода(поиск новых троянов\вирусов) исследованиях? Если участвуете, то в качестве кого? Перечитал два раза. Не очень понял вопрос.... "Листинг" - это вас прям на Ассемблере интересно? Или как? Я в Юниксах на прикладном и системном уровне не очень силен... Я с Юниксов на IBM-PC окончательно пересел в 1988-м году... Цитата Ссылка на сообщение Поделиться на другие сайты
hinote 116 Опубликовано 27 мая, 2009 Share Опубликовано 27 мая, 2009 (изменено) А я с позволения, как юниксоид, скажу, что вопрос топик-стартера некорректен. На некорректный вопрос нельзя дать ответ. Что такое автозапуск, про который вы говорите - для меня например загадка. Если вы почитаете ту оригинальную статью на веблоге viruslist, на которую ссылается эта публикация в securitylab, и следующую за ней статью на ту же тему, то вы увидите, что ни о каких троянах для Linux речи не идет, а вредоносный код попадает на зараженные сервера, как правило по следующим причинам (цитирую веблог): " 1. кража пароля от FTP, с помощью вредоносных программ; 2. перебор паролей от FTP, SSH по словарю; 3. проникновение через phpbb. Во всех трёх случаях загрузка спам-бота сопровождалась изменением HTML-файлов и вставкой в них iframe’ов на зараженные сайты." Т.е. речь идет об элементарной безалаберности и пренебрежении основными принципами компьютерной безопасности - такими как стойкие пароли, хранение их в надежном месте... Т.е. закрывать в таких случаях какие то дыры не нужно. "Листинг кода" троянов, если речь идет именно о самом содержимом описанных вредоносных файлов, вам никто не даст, т.к. распространение вредоносного кода является уголовным преступлением. Если же речь идет просто о *списке* известных на настоящее время зловредов для Linux, то этот список также не даст вам никакой информации для закрытия каких-либо дыр в сервисах и системе в целом. Изменено 27 мая, 2009 пользователем hinote 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Pupkur 0 Опубликовано 28 мая, 2009 Автор Share Опубликовано 28 мая, 2009 На Security Lab написано следующее "Мифы о полной защищенности *nix-систем постепенно уходят в прошлое. Недавним примером уязвимости *nix-систем стали обнаруженные Лабораторией Касперского трояны Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. " После этого прочёл http://www.viruslist.com/en/weblog статью здесь. Да, действительно, трояны не упоминаются, а упоминается "malicious programs". Получается Security Lab ввёл меня в заблуждение. Оригинальную статью прочёл трижды и не увидел информацию которую Вы, hinote, процитировали(о распространении, хотя мне это и не важно, это я знал и ранее). На скриншотах выложеных по ссылке виден кусок кода на перле. Если в трояне не предусмотрен автоматический старт (прописываться в cron или rc.d глупо... У меня например они защищёны и о всех изменениях я узнаю сразу. Так же бесполезно менять index.html. Если надо подробности того как я это оргнанизовал - личка), то после перезагрузки сервера, троян перестанет работать и толку от этого трояна нет. Я неправильно выразился по поводу полного кода, мне нужен только тот кусок который кода котоорый отвечает за запуск и надо только для того, чтобы, если это возможно, превентивно закрыть брешь в системе. P.S. По поводу списка брешей и троянов... Зная что распространяется можно попытаться найти как оно распространяется и, соответственно, закрыть возможность заражения. Цитата Ссылка на сообщение Поделиться на другие сайты
hinote 116 Опубликовано 28 мая, 2009 Share Опубликовано 28 мая, 2009 --- Статья, которую я процитировал - это вторая статья *на русском языке* в веблоге, посвященная этой теме: http://www.viruslist.com/ru/weblog?weblogid=207758875 --- По поводу Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a - первый это вредоносный payload (рассылка спама), второй - его запускалка. Как я понимаю, функционал внедрения в них не входит. Я кстати не исключаю, что запускалку просто прописывают в init-скрипты... Лучше бы конечно, если бы откликнулся здесь сам автор статьи Сергей Голованов, т.к. у меня лично знания об этом зловреде сейчас из таких же публичных источников, какие доступны и вам. Цитата Ссылка на сообщение Поделиться на другие сайты
Pupkur 0 Опубликовано 28 мая, 2009 Автор Share Опубликовано 28 мая, 2009 Тем не менее спасибо за ответ. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.